Hálózatok általános

VPN szerver auto failover két ISP-vel

Sziasztok!

Lerajzoltam a jelenlegi topológiát. 

Ami most van és működik. Adott a Router 1, ami L2TP szerverként működik a WAN1-en. 2 WAN lába van és az lenne a cél, hogy úgy tudjon átállni egyik ISP-ről a másikra, hogy lehetőleg kliens oldalon ne kelljen találgatni, hogy melyik megy éppen.

Két módon tudnám ezt elképzelni. Az egyik, hogy használom a Mikrotik beépített DynDNS szolgáltatását (xxxx.sn.mynetname.net) vagy a Router 2-re költöztetem a VPN szervert (ez hosting-ban van kb. zero downtime-al) és az ISP2-re is építek fel egy IPSec tunnelt.

A Router1-en pedig vagylagosan megy a WAN1 vagy a WAN2. Fix ip mindkettőre van.

Ti hogy oldanátok meg ?

Köszönöm előre is az ötleteket!

IPSEC site-2-site VPN gyakori leállás (opnsense)

Van 1-1 db opnsense rúterem 2 site-on. A site-okon internet elérés dinamikus publikus IP-vel van (átkos PPPoE, minden reconnect után új IP-t kap). Azaz pont a legtávolabbi ellentéte az optmális static IP setup-nak, amit az ilyen service-k elvárnának. Dynamic DNS-t használok ezért, ha a rúterre WAN oldalról kell hivatkozni. Ki akartam húzni közöttük egy site-2-site VPN-t.
Valamiért úgy döntöttem, legyen IPSEC alapú a tunnel. Mert hát ugye szabványos az IPSEC, 20 éve van már windowsban beépített kliens, android is tudja out of the box, mi baj lehetne? Openvpn valahogy nem szimpatikus, SSL VPN-t amúgy sem tudja hw-ből gyorsítani szinte semmi, ezek meg gyenge CPU-n futnak.

Megnéztem pár videót YT-on ipsec-ről, mert az opnsense dokumentáció mint olyan nem létezik még ha elsőre azt is hiszed h. igen. Írnak valamit, de az egy nagy 0-t sem ér.

Ez pl. egész jó volt, elhittem neki h. TÉNLYEG érti miről beszél nem csak észnélkül felolvassa a másik által megírt slide-okat:
https://www.youtube.com/watch?v=ikSybz2e2RU

Amúgy dunát lehet rekeszteni az ipsec-ről hablatyoló kontárokból youtube-on, egyik borzasztóbb mint a másik, sok meló kiszűrni a tényleg profi előadókat
Viszont továbbra se biztos hogy minden tiszta ezekről:

ISAKMP, IKEv1, IKEv2, AH, ESP, tunnel mode, transport mode, main mode, aggressive mode, quick mode, Phase1, Phase2, cipher-eknél már opálosodik a szemem h. mi a különbség szimpla-AES-128bit / szimpla-AES-256bit /AES-GCM-128  / AES-CBC-128 között, és amit az egyik OS így hív, azt a másik meg amúgyan hívja, de a közösen beszélt low-level valódi cipher-listabeli megfelelőjét basznak ténylegesen odaírni a sor végére legalább apróbetűvel.

Szóval a tunnelt magát ez alapján csináltam meg:
https://docs.opnsense.org/manual/how-tos/ipsec-s2s.html

Szimpla policy-based ipsec VPN, mert a route-based ipsec VPN-t nem fogtam fel mire is jó nekem, és egyelőre ez a szimpla is elégnek tűnt. Cert helyett PSK-val állítottam be. Eleve trükkös a setup ha hiszel a guide-nak, mert a fenti szamárvezető azt írja, hogy mindkét tunnel endpoint oldalán a távoli network address-t kell megadni. Erre a példákban feszt is a RouterA és RouterB LAN IP-jét írták le: 192.168.1.1/24, 192.168.2.1/24 és nem pedig helyesen a network address-t ami 192.168.1.0/24 ill. 192.168.2.0/24. Nem világos mi a célja a My identifier / Peer identifier soroknak, azt is jól agyonmagyarázza a guide (hát nem!). Mert ha azt is fix-re kellene állítani, akkor adtam a szarnak egy pofont a dinamikus IP setup-ban!

Beállítás után elvileg felépül a tunnel. Aztán 1-2 nap után ledöglik. Többszöri IPSEC service és unbound DNS service restart megoldja. Unbound-ot a DDNS miatt kell restartolni ilyenkor, mert be-cacheli a remote public IP-t 24 órára (TTL override). Ha pedig épp IP-váltás volt a túloldalon, akkor nem fogja lekérdezni az aktuális public IP-t DDNS-en keresztül, mert az unbound local DNS cache-ben még ott van a régi, egy egészségesen nagy TTL-el.
Miután levettem az unobund DNS cache TTL-t 3600sec-re (mindkét oldalon kell, mert az anomália mindkét oldalon jelentkezik a jól ismert okokból), ideig óráig élt a tunnel. Aztán megint volt public IP váltás (vegyesen hol egyik hol másik oldalon), és utána már az unbound restart / cache űrítés sem segített. Akkor meg az IPSEC service restart kellett, látszólag mintha az SA-k beragadtak volna, hiába mutatott közben jó IP-re a DNS. Most itt állok, hogy ha sikerül a távoli opnsense-hez is hozzáférni (azaz fizikailag odamegyek, ugye ha ledöglik a tunnel, meg vagyok lőve a másik site-ról), és tudok ott is restartolni service-t akkor életre kell, ha épp annak az oldalnak volt baja a tunnel felállításakor.

Nem találtam a guide-ban 1 büdös szót sem arról, hogy ilyen dinamikus IP / DDNS felálláson is működőképes ez a Site-2-Site IPSEC tunnel setup? Persze mindenki a static rútolható IP-t szereti az oktatóanyagban, mert azzal van a legkevesebb melója gyorsan túl lehet rajta esni. Avagy minden egyes WAN IP váltáskor ledöglik és úgy is marad amíg a rúteren vki kézzel nem restartol service-eket? Mert ha magától nem tud helyreállni ilyen IP váltások után rövid idővel, akkor ez a megoldás kalap szart sem ér :(

Otthoni halozat/mesh

Hello,

Tanacsot, tapasztalatot szeretetnek kerni a temaban, nekem nincs sok... Uj, ketszintes(nem er el a wifi a 2.ra a fodem miatt) lakasban szeretnek kialakitani teljes wifi lefedettseget. Amit szeretnek: egy halozat legyen mindenhol es a mobil eszkozok tudjanak valtani automatikusan legjobb lefedettsegre.

Jelenleg a szolgaltatonak a routerere van bekotve egy tp-link router kabellel fent, de az vagy uj alhalozatot csinal v ha kikapcsolom a dhcp-t es a nat-ot, akkor mar nem elerheto a router, es a mobil eszkozokon is valtani kell.

Mit tanacsoltok, hogyan lehetne megoldani?

Elvileg access point kene, de az meg nem teljesen tiszta nekem, hogy rakothetek e barmilyen AP-t a szolgalto routerere, fog e tudni menni a kivanalmak szerint? v mindekeppen kell egy +router (es egy uj alhalozat is emiatt)es hozza egy AP?

Ajanlottak cisco-t, netgear-t, ill. korabbrol van egy tp-link routerem, ami tud one-mash-t, ami pont az automata atkapolas. De ezt nem tudja altalaban barmely AP?

Koszi,

[megoldva] EAP 245 lassú

Üdv!

Nemrég cseréltem egy EAP110-et egy EAP245-re hogy majd gyors lesz a wifi.
Elvileg már van 5G nem csak 2.4 szóval minden f@sz@. 
A titkosítás wpa2-psk aes-el. A speedteszt szerint a max up/down valahol 15/18Mbps között mozog.
Ez szerintem nagyon kevés.  ETH1 kapcsolat 1000Mbps - FD. A net jó, vezetéken megvan a gigabit.

Ez tényleg ennyire fosh, vagy valamit rosszúl állítottam be?ú

Köszi!

Windows session információ linux alól

Windows alatt találtam egy ilyen command prompt parancsot, amely képes az azonos hálózatban lévő windowst futtató számítógépről megmondani ip cim alapján, hogy ki és mikor jelentkezett be, illetve, hogy aktiv e a session. Home office miatt hasznos lenne, hogy a kb 50 gép közül látszódjon, hogy melyik szabad.

C:\Users\halapi.natalia>query user /server:10.159.155.123

USERNAME              SESSIONNAME        ID  STATE   IDLE TIME LOGON TIME

mekk.elek          console             7  Active      none 2020. 10. 27. 7:58

Munkahelyi hálózatunkban van egy linux szerver is (debian), ez alól szeretném ugyanezt megtenni. Sajnos nem találtam a windózos "query" parancsnak linuxos alternatíváját. A linuxos szerver csak webkiszolgálóként fut, és egyenjogú tagja a belső hálózatnak.

Az ötleteket köszönöm előre is.

[megoldva] LLDP bug, vagy feature ?

Sziasztok!

Van egy hálózat menedzsmentet segítő programom ( https://github.com/csikfer/lanview2 ). A programban van egy felfedező funkció, ami az LLDP alapján felfedezi a switch-eket (és más LLDP-t támogató eszközöket) és a kapcsolatukat. Ez több kevesebb sikerrel működik is. Van viszont egy jelenség, amivel nem tudok mit kezdeni. Főleg HPE switch-eim vannak, és a 19x0 típusoknál szokott előjönni az a jelenség, hogy nem csak ez a switch látszik a szomszéd megfelelő portján, hanem a rá csatlakozó HP AP-k is pl:

HP 5406:F9 <-> 21:HPE 1920s:1 <-> AP1

Akkor a HP 5406 switch F9 porton szomszédként megjelenik a HPE 1920s switch 21 portja, de a HPE 1920s switch 1-es portjára csatlakozó AP1 is, ill. ha csatlakozik több AP, akkor az mind. (Az AP-k legtöbbje MSM430-as típus).

Ez valami feature, vagy inkább hiba? Esetleg létezik, valami beállítás, amit nem ismerek, és letiltja ezt a plusz "szolgáltatást".

Az AP-knál az LLDP-t nem kéne letiltani, mert akkor az AP-k kimaradnak ebből a felfedezésből, ami annyira nem jó.

Static IP az /etc/network/interfaces-ben, más IP az adapteren

Be van állítva az interfaces-ben, hogy pl.

auto eth0
iface eth0 inet static

address 192.168.1.1
netmask 255.255.255.0

És ehhez képest az eszköz megkapja IP címnek a 192.168.1.238-as címet és működik is, holott a 192.168.1.1-est kéne megkapnia. Az egy dolog, hogy esetleg ütközés van és ezért nem tud felcsatlakozni, nem válaszol, stb. de az IP - localban - akkor is 192.168.1.1 kéne, hogy legyen, nem?

Mi és hol lehet rosszul konfigolva? Megköszönöm, ha valakinek van ötlete.

Samba domain+Win10 kérdések

Hello,

Két kérdésem lenne.

1. A gépek domain-be vannak léptetve. A login-t követően a desktop.ini fájl automatikusan megnyílik egy notepad-ban. Próbáltam  a leírások alapján törölni illetve jogosultságot állítani, de nem működött egyik megoldást sem. (https://www.winhelponline.com/blog/desktopini-file-automatically-opens-… )  Rendkívül zavaró, jó lenne valahogy lebeszélni erről.

2. Iskolai gépekről van szó. A diákok azonos user-el lépnek be így azonos profilt töltenek le. A cél az lenne, hogy nap végén a desktop ne legyen elmentve (minden reggel "tiszta lappal" induljon a gép).

Ez Xp alatt remekül ment, hogy a szerveren a profilról levettem az írási jogot. Ha most ezt megteszem, akkor leállításkor a Win10 üzen, hogy nem sikerült a profilt elmenteni. 

Egy Samba 3.5.1-ről van szó.

Köszönöm előre is a tippeket!

UPC wifi booster kérdés

Sziasztok, leraktak nálunk egy ilyen wifi extendert. Jól működött, és jelenleg is jól működik. Csak az a különös, hogy amikor beállította a Vodafonos ember, akkor égett a vevő egységen a zöld wifi szimbólum. Aztán volt egy vihar, áramtalanítottam az adó egységet, később vissza, és ezután már nem ég a vevőn a zöld wifi jel. De továbbra is működik. A leírásban semmi nincs erről. Nem mintha zavarna, de szeretem érteni a dolgokat.

Hálózat kialakítása hogyan?

Sziasztok!

Szeretnék kialakítani egy ethernet+wifi hálózatot a következőképpen: 

Szeretnék egyrészt területenkénti elkülönítést a vezetékes hálózaton: lennének helységek, melyekből csak internetezni lehetne. Lennének helységek, melyekből az internet mellett el lehetne érni a helyi szervereket, valamint a nyomtatókat. Ezen felül lenne a wifi hálózat, ahonnan a vendégek csak az Internethez férnének hozzá, az azonosított eszközök viszont a helyi hálózathoz (szerverek, nyomtatók) is hozzáférnének. 

Arra gondoltam, hogy ezt vegyesen port- és MAC alapú vlanokkal oldanám meg: az egyes helységekben port alapú vlant használnék, ezen helységek gépeinek a MAC címét nem rögzíteném egyenként, csak azokat a mobil eszközöket, amelyekkel szeretném elérni wifiről is a belső hálózatot. 

Lenne egy B verzió is: azokkal a mobil eszközökkel, melyek wifiről elérhetik a belső hálózatot is, lehessen bárhonnan elérni a szervereket, nyomtatókat, azokból a termekből is, ahonnan a többi gép csak az Internetet éri el. Ha ez nem valósul meg, nem nagy gond.

A kérdésem az, hogy van-e tapasztalatotok MAC alapú vlanokkal, ez az elgondolás működőképes-e, másrészt, hogy ezzel oldjam-e meg, vagy más módszert ajánlotok?